HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Articles > Évolution des attaques de type Cross Site Request Forgery
Accéder au : Site HSC des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|Évolution des attaques de type Cross Site Request Forgery  
> Accès au contenu HTML Début de l'article
PDF Version PDF [606Ko]  
> Description Évolution des attaques de type Cross Site Request Forgery - SSTIC07, juin 2007  
> Contexte & Dates Publication et présentation faite lors du Symposium sur la Sécurité des Technologies de l'Information et des Communications 2007 (SSTIC07)
Publication sur www.hsc.fr le 28 août 2007  
> Auteur Louis Nyffenegger et Renaud Feil 
> Langue et Nature  
> Résumé &
Table des matières

Résumé

Cet article présente un état de l'art des attaques de type Cross-Site Request Forgery et les nouvelles techniques pouvant être utilisées par des attaquants pour les réaliser de façon efficace. Plusieurs scénarios d'attaque sur des applications Web grand public sont expliqués ainsi qu'une vulnérabilité, présente dans la plupart des navigateurs Web récents. Cette vulnérabilité permet de réaliser des attaques de type Cross-Site Request Forgery efficaces à l'aide de l'objet XMLHttpRequest. De plus, une technique inédite, permettant d'assurer la persistance du code hostile sur la machine, même après la fermeture de la fenêtre du navigateur est présentée. Enfin, les meilleures solutions pour se prémunir de ces attaques sont discutées pour permettre à chacun (utilisateurs, développeurs de navigateurs ou d'applications Web, responsables de la sécurité des systèmes d'informations dans une organisation, etc...) de contribuer à l'éradication de cette menace.

Introduction

Les attaques de type Cross Site Request Forgery

  • Une attaque simple
  • Une attaque dangereuse
  • Une attaque méconnue

Evolution des attaques sur les navigateurs Web récents

  • Les attaques historiques par GET et POST : plus efficaces encore avec Javascript
  • Les possibilités d'attaques par les plugins des navigateurs
  • Les requêtes XMLHttpRequest : de nouvelles opportunités pour les attaques de types CSRF

Les attaques de type CSRF en pratique

  • Le contrôle dynamique des attaques de type CSRF : présentation de l'outil CSRF-proxy
  • La problématique de la conservation du code hostile

Les protections contres les attaques de type CSRF

  • La sensibilisation des utilisateurs
  • Le renforcement des restrictions au niveau des navigateurs Web
  • La prise en compte de la menace dans les applications Web

Conclusion

 
> Documents liés
themeArchitectures de sécurité
[Présentation]  DNS Finger - Identité dans le DNS [7 juin 2012 - Français]
[Présentation]  Sécurité des réseaux industriels. Scadastrophe... ou pas. [15 mai 2012 - Français]
[Présentation]  Securité en profondeur [19 mars 2011 - Français]
[Présentation]  Détection de tunnels en périphérie du réseau [2 juin 2006 - Français]
[Article]  Détection de tunnels aux limites du périmètre [2 juin 2006 - Français]
[Présentation]  Comment faire sa sécurité Internet [5 janvier 2002 - Français]
[Présentation]  Architecture à mettre en place sur un réseau d'entreprise connecté à l'Internet [18 décembre 2001 - Français]
[Article]  Comment mettre en place des systèmes de sécurisation ? [29 mars 2001 - Français]
[Présentation]  Comment intégrer les VPN dans les dispositifs de sécurité ? [29 septembre 1999 - Français]
[Article]  TAFIM - Technical Architecture Framework for Information Management [mai 1997 - Français]
[Article]  Comment bâtir une architecture de sécurité Internet ? [octobre 1995 - Français]
themeHTTP (HyperText Transfer Protocol)
[Outil]  Outil Webef [Outil de brute-force de fichiers et répertoires d'un serveur web - Anglais]
[Présentation]  Les webshells, véritable menace pour les SI ? [1 décembre 2009 - Français]
[Présentation]  Chiffrement de contenu Web hostile over HTTP [31 mai 2007 - Français]
[Brève]  Installation et fonctionnement de mod_security2 [24 avril 2007 - Français]
[Brève]  Présentation du module ModSecurity de Apache. [14 juin 2006 - Français]
[Présentation]  Détection de tunnels en périphérie du réseau [2 juin 2006 - Français]
[Article]  Détection de tunnels aux limites du périmètre [2 juin 2006 - Français]
[Brève]  Mécanismes d'authentification HTTP/HTTPS [10 mars 2003 - Français]
[Outil]  Outil Subweb [Relais inverse HTTP - Anglais]
[Présentation]  Perspectives et Inconvénients des nouvelles versions de HTTP [24 octobre 1996 - Français]
[Présentation]  HTTP/1.1 [6 juin 1996 - Français]
[Présentation]  Aspects de HTTP/1.1 pour la réalisation d'un relais de sécurité [19 mars 1996 - Français]
> Droits d'auteur © 2007, Hervé Schauer Consultants, tous droits réservés.

 

Dernière modification le 14 septembre 2007 à 12:59:09 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants